20 分 2024年2月2日

複雑なサイバー戦略が企業の重大リスクになっていませんか?

執筆者 Richard Watson

EY Global and Asia-Pacific Cybersecurity Consulting Leader

Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.

投稿者
EY Japanの窓口

EY ストラテジー・アンド・コンサルティング株式会社 サイバーセキュリティ共同リーダー パートナー

25年以上の Cybersecurity の経験を有し、グローバルコラボレーションと協調性を大事にする。週末はテニスとゴルフに興じる。

20 分 2024年2月2日
関連トピック コンサルティング

2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査(EY Global Cybersecurity Leadership Insights Study)の結果、価値創造と防衛力の強化に向けたセキュリティリーダーの取り組みの実態が明らかになりました。

要点
  • 企業がサイバーセキュリティへの投資を増やしている一方で、サイバー攻撃者は高度なテクノロジーを活用してアタックサーフェスを拡大しているため、サイバー脅威は高まる一方である。
  • 優れた成果を挙げているチーフ・インフォメーション・セキュリティ・オフィサー(CISO)は、テクノロジー環境を簡素化し、自動化に重点を置き、組織のあらゆる層へ効果的に情報を発信している。
  • サイバーセキュリティの強化は、脆弱性の軽減だけでなく、テクノロジー関連の支出の最適化や連携の促進、信頼の構築などによる価値の創造をもたらす。
Local Perspective IconEY Japanの視点

多層防衛のための複数のセキュリティ対策ツールの導入により、人手によるインシデント検知と対応のオペレーションがより複雑になる傾向があります。

サイバーリスクの軽減のために、サイバー攻撃の分析とインシデントの検知・対応の一連のオペレーションをセキュリティ対策の自動連係により簡素化することに今こそ取り組むべきです。

 

EY Japanの窓口

松下 直
EY ストラテジー・アンド・コンサルティング株式会社 サイバーセキュリティ共同リーダー パートナー

サイバー攻撃の脅威は高まり続けており、サイバーセキュリティへの支出はかつてないほど増加しています。こうした状況にあるにもかかわらず、CISOや経営幹部の5人に1人しか、⾃社の対策は現在および将来のサイバー脅威に有効であると考えていません。

一方、企業が懸念材料を抱えているということも、2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査で明らかになっています。企業は、年間平均で44件に及ぶ重⼤なサイバーインシデント経験していますが、その検知と対応には時間がかかっています。回答企業の4分の3は、インシデントの検知と対応に平均6カ⽉以上を要しています。また、サイバー攻撃件数については、判明しているだけでこの5年間におよそ75%増加し1、ランサムウェア対策費も2021年の200億⽶ドルから2031年には2,650億⽶ドルに達する⾒通しです2。 ⾮常に巧妙な新⼿のサイバー攻撃者などは、最新のテクノロジーを武器に、攻撃のスピードを上げ規模を拡⼤しています。その結果、企業の財務、規制、レピュテーション⾯への影響はますます大きくなっています。

  • 本調査について

    2023年2月から3月にかけて、EYは、現在および将来のサイバー脅威に備えて企業がどのようなサイバーセキュリティ・アプローチを実践しているのかについて理解を深めるために調査を実施しました。本調査は、日本を含む、アメリカ大陸、アジア太平洋、EMEIA(欧州、中東、インド、アフリカ)など25カ国、19の業界にわたる500人の経営幹部とサイバーセキュリティリーダーを対象にEYのプロフェッショナルチームによって行われました。回答者は、10億米ドル以上の売り上げがある企業に所属しています。

統計モデリングを⽤いて、⾮常に効果的なサイバーセキュリティ対策を講じている先駆的企業を特定し、このグループを「セキュアクリエイター(Secure Creators)」と名付けました。サイバーセキュリティの有効性が比較的低い「プローンエンタープライズ(Prone Enterprises)」に比べ、セキュアクリエイターではサイバーインシデント発生件数が比較的少なく、脅威の検知と対応も迅速に行っています。また、同グループは、⾃社のサイバーセキュリティ対策に満⾜している企業が多く(セキュアクリエイターが51%、プローンエンタープライズが36%)、将来の脅威への備えができていると感じている傾向が高いです(同53%、同41%)。

  • 図の説明を表示する#図の説明を閉じる

    上のインタラクティブな図表は、回答企業が講じているサイバーセキュリティ対策の有効性に基づき、調査データをどのようにセグメント化したか示しています。

セキュアクリエイターが講じているサイバーセキュリティ対策は、企業価値の「守り」と「創造」を可能にします。このグループでは、自社のサイバーセキュリティ対策が、市場機会への対応能力や、変⾰とイノベーションのスピードにプラスの影響を与えていると感じる割合が非常に高い傾向が見られます。セキュアクリエイターがプローンエンタープライズと一線を画すのは、以下の3つの重要なアクションを実行している点にあります。

  • 先端技術を迅速に採⽤し、サイバーセキュリティの技術的対策をオーケストレーションし、自動化により効率的なプロセスを構築している。
  • クラウドやオンプレミス、サードパーティーにまたがる、複雑なアタックサーフェスの管理に特化した戦略を策定している。
  • サイバーセキュリティ対策を、経営幹部、全従業員、サイバーセキュリティチームの3つの組織すべてに浸透させている。
  • セキュアクリエイターの特定方法について

    サイバーセキュリティ対策においてより良い成果を挙げている企業を特定するため、以下に示す客観的指標と主観的指標に基づき、ビジネスリーダーに⾃組織のサイバーセキュリティ対策を評価していただきました:平均検出時間(MTTD)、平均復旧時間(MTTR)、サイバーセキュリティのインシデント発生件数、サイバーセキュリティ対策の組織内浸透状況、サイバーセキュリティがイノベーションと価値創造に与える影響。

    その調査データを基に統計モデリングを実施し、回答者を「セキュアクリエイター」(優れたセキュリティ対策を講じている企業)と、「プローンエンタープライズ」(セキュリティ対策で劣る企業)の2つのグループに分けています。回答者の割合は前者が全体の42%、後者が全体の58%です。 

明るいライトに照らされた、高速道路にかかる夜間の歩道橋
(Chapter breaker)
1

第1章

先端技術の採用:簡素化によるセキュリティの確保

技術的対策を急ぐあまり、サイバーセキュリティ環境が複雑化している企業が多い中、非常に効果的なサイバーセキュリティを実践している企業では、セキュリティ運用を⾃動化することで複雑化を軽減しています。

サイバーセキュリティ対策ツールとアプリケーションは、ここ数年の間に⾼度化し、スピードや有効性においても進化を遂げています。こうした技術面の向上は、企業によるセキュリティ投資が拡大していることが要因のひとつに挙げられます。Pitchbookのデータによると、サイバーセキュリティへの支出は2010年から2022年までの間に1兆3,000億⽶ドルに達し、年平均成⻑率は16.6%を記録しています。

今回の調査結果から、新テクノロジー導⼊の波が到来し、企業の84%が、サイバーセキュリティの既存の対策に複数の新しい技術的対策を加える初期段階にあることが分かりました。ところが⽪⾁なことに、セキュリティ対策の拡大と複雑化により、可視化できなくなっており、有効性が損なわれつつあります。「技術的対策の複雑さが増せば増すほど、的確に予兆を捉え、問題に迅速に対処することが難しくなる」とEY Globalおよび EY Asia-PacificのCybersecurity Consulting LeaderであるRichard Watsonは指摘しています。

技術的対策を単⼀のプラットフォームに集約し、ベンダーの製品数を減らすことで統合を容易にした結果、攻撃の検出がスムーズに進むようになり、セキュリティチームがインシデントをより効率的に検知できるようになりました。

CISOに求められるのは、サイバーセキュリティの技術的対策を会社全体に導⼊する際に、既存のシステムを合理化し、今やビジネスに欠かせないものとなったクラウドやエコシステムパートナーシップなどにおけるサイバーセキュリティ⾯のニーズに対処し、最大限の⾃動化を図るための総合的なテクノロジー戦略を策定することです。セキュアクリエイターは、まさにこうした戦略を推進しています。セキュアクリエイターは、まさにこうした戦略を推進しています。

本調査結果によると、セキュアクリエイターの70%が、先端技術の早期導⼊者であると回答し、特に、⾃動化によるテクノロジー環境の簡素化を重視し、⾼度なソリューションを導入しています。同グループは、⼈⼯知能(AI)や機械学習(ML)をすでに利⽤している、または導⼊後期段階であるとの回答が多く(セキュアクリエイター:62%、プローンエンタープライズ:45%)、セキュリティ運⽤業務の効率化や⾃動化を実現するためのテクノロジーやソリューションであるSOAR(Security, Orchestration, Automation and Response)についても同様に回答しています(同52%、同37%)。セキュアクリエイターのこうした戦略は、組織横断的でシームレスな防御態勢の構築と、サイバーセキュリティインシデントの確実な検知につながっています。 

  • 図の説明を表示する#図の説明を閉じる

    上の図表は、サイバーセキュリティ技術あるいは対策をすでに導入している、またはその導⼊後期段階にある回答者の割合をセキュアクリエイターとプローンエンタープライズ別に⽰しています。

セキュアクリエイターは、自社のサイバーセキュリティ対策によって脅威の変化への適応力が向上したと回答する割合も高い傾向にあります(45%がプラスの影響があると回答)。⼀⽅、プローンエンタープライズでは、上記と同じ回答が34%にとどまり、また36%が⾃社の対策が対応⼒にマイナスの影響を与えていると回答しました。どの企業も同様の先端技術を活⽤する今、サイバーリーダーには、サイバーセキュリティの簡素化を念頭に技術面の戦略を策定し、確実に実行に移すことが求められています。特に、EYでは以下のアクションを推奨しています。

  • 既存のサイバーセキュリティ技術を簡素化・合理化して総コストを削減し、シームレスでスピーディーな運⽤を実現するプラットフォームを構築する。
  • 最新技術の導入に際し、重複した、あるいは統合が不⼗分なレガシーシステムがないかチェックする。
  • 複数の個別対策ではなく、簡素化かつ⾃動化された、サイバーセキュリティ対策を採⽤する。
  • 新たなリスクを招いたり、テクノロジー環境全体を複雑にしたりすることなく、新たな機能をいち早く採⽤する。
  • DevSecOpsやSOARを含め、⾃動化主導の対策を検討する。
  • コストの効率化を図りながら、インフラを簡素化し、可視性を高めるコソーシングやマネージドサービスを活用する。
  • エネルギー企業を悩ますIT環境の細分化

    今回の調査結果をセクター別で⾒ると、特にエネルギー企業がサイバーセキュリティに苦⼼しています。「将来のサイバー脅威への対策は万全である」とした回答は35%で、その他の全セクターの48%を⼤きく下回っています。さらに、同セクターでは、「最新技術の導入は試⾏と検証が⼗分に重ねられるまで待つ」という姿勢が強く、先端技術の統合をサイバーセキュリティの最大の課題として優先的に捉えていない傾向が見られます。

    IT部門以外の従業員によるベストプラクティスの実践状況に関しても、満⾜している企業はわずか22%です。

    EY Global Cybersecurity Leadでエネルギー担当のClinton Firthは、次のように述べています。「ここ数年、サイバーセキュリティへの投資を拡⼤しています。エネルギーセクターの企業は、重要な国家インフラを担う⽴場にあることから、サイバー攻撃やシステム障害に対するレジリエンスを担保する必要があり、規制とコンプライアンス⾯におけるプレッシャーを感じています」。同セクターでは、再⽣可能エネルギーへの移⾏を求める声の高まりを受け、レガシーシステムから、IoT(モノのインターネット)の活用を含む、分散型ネットワークへのシフトを余儀なくされています。サイバーセキュリティの技術的ソリューションは高度に進化しており、エネルギー企業は、こうしたソリューションを活用することで脆弱性の効率的な特定や、特権アクセス管理、脅威の検出・対応などにおいてケイパビリティを向上させることができます。

    その⼀⽅で、エネルギーセクターは複数の⼤きな構造的課題も抱えています。⽯油・ガス会社はグローバルにビジネスを展開していますが、サイバーセキュリティ関連の基準や規制は国・地域によってまちまちです。また、サイバーセキュリティ部⾨は、事業⽤資産の管理を担う⼯場⻑と効果的に連携することに苦慮することも多々あります。OEMメーカーやレガシーシステムの環境は、変⾰を進める際の障害となっています。

    EY EMEIA Cybersecurity LeaderのAlam Hussainは、次のように述べています。「この数年間、エネルギー企業の多くが⾦融サービス企業と同程度の規模のサイバーセキュリティ投資を行っていますが、エネルギーセクターではIT環境の細分化がさらに進みました。エネルギー企業は『クモの巣』のような複雑なネットワークを形成しているため、あらゆる分野のサイバーリスクに対応できるソリューションを導⼊することは簡単ではありません」

近代的で整然としたコントロールルームに座るエンジニア
(Chapter breaker)
2

第2章

セキュアクリエイターはアタックサーフェス全体を管理

クラウドの大規模化とサプライチェーンの深化は、アタックサーフェスの拡⼤を招いています。

回答企業が認識しているサイバーセキュリティ対策の課題として最も多かったのは、「アタックサーフェスが多すぎること」でした。企業は、⼤規模なクラウド移⾏やIoT化を進めていますが、そうした取り組みがサイバー侵害の可能性を高めています。さらに、既存のエコシステム型ビジネスモデルは、企業価値の向上に資するものの、サイバーセキュリティ対策においては大きな課題があります。こうしたことから、53%のサイバーリーダーは、現在のデジタルエコシステムに安全な境界線などないと感じています。中でも、サプライチェーンは、サイバーリスクが極めて高く、2021年に発⽣したシステム侵⼊インシデントの62%を占めています3

クラウドおよびIoTの導入に伴うリスクを軽減する

回答者の4人中3人が、今後5年間の最⼤のテクノロジーリスクにクラウドとIoTを挙げています。クラウド化が進むにつれ、アタックサーフェスは驚異的に拡⼤しています。サイバー攻撃の脅威は加速的に変化し続けており、企業は後れを取らないための取り組みを進めています。このように急速に変化するセキュリティ環境下では、クラウドインターフェースやクラウド環境周りの設計やプランニングを⼗分に⾏わずに、クラウドやIoTの導⼊を進めてしまうと、企業はデータの損失や侵害、事業の中断といった事態にさらされる恐れがあります。こうした複雑な状況を乗り越える上で企業に必要なのは⾃動化の活⽤です。例えば、本調査でも、セキュアクリエイターのCISOの半数が、サイバーセキュリティの技術的対策をオーケストレーションし自動化プロセスを確立している、あるいはその導⼊後期段階にあると回答しています。

また、⾃社のサイバーリスクはすべてクラウドプロバイダーが対処してくれていると考えることは賢明ではありません。これに関して、Ernst & Young LLP Cybersecurity ConsultingのパートナーであるCarolyn Schreiberは次のように述べています。「クラウドセキュリティにおいて、特に本⼈確認とアクセスに関する責任はプロバイダーとユーザーの両方にあります。クラウドへの移行においては、誤設定がよく⾒受けられますが、それは追加の設定も必要であることを⽰しており、単に『現設定を取り出して移⾏する』だけでは不十分です。検討すべき主な事項は、権限昇格攻撃の防⽌を⽬的とした特権アクセス管理、機密情報の管理、およびラテラルムーブメント(⽔平展開)の阻⽌です。EYがサポートしたクライアントの事例によると、セキュアクリエイターのほとんどが、契約書の細部まで注意深く読み、⾃組織が定めたセキュリティ基準と同じ基準に準拠するよう、クラウドサービスプロバイダーに求めています。クラウドへの移行を進める際には、社内のセキュリティチームとクラウドサービスプロバイダーの両⽅に責任を課すことが、クラウドプラットフォームとクラウドコンテナのセキュリティ管理のリスク軽減において重要となります」

サイバーリスクの定量化は、⾃動化やデータ分析を通じて洞察を提供し、リスクの優先順位付けを促進することが期待される新たな領域です。企業の経営陣や取締役会は、サイバーセキュリティやデジタルリスクについて言及する場面も多くなり、理解を深めようとする姿勢がうかがえます。こうしたアプローチは、CISOがこれまで⾏ってきた単なる技術面のアップデートを提供するよりもはるかに説得⼒があります。 

  • Asia-Pacific、EMEIA、Americas地域での⼤規模クラウドとサイバーリスクについて

    今回の調査で、サイバー脅威を招く可能性が最も高いテクノロジーに⼤規模クラウドを挙げる回答が⼀番多かったのはAsia-Pacific地域でした(Asia-Pacific:81%、Americas:74%、EMEIA:63%)。同地域では、規制当局がクラウドサービスの認可についてより慎重な姿勢を取っています。こうしたことが、クラウド導入の遅れや、欧州やAmericas地域に比べてクラウド移行に対する信頼感が低下する原因となっている可能性があります。

    ⼀⽅、EMEIA地域では、人工知能(AI)や機械学習に起因するリスクを懸念する傾向が高いことが分かっています(EMEIA:49%、Americas:38%、Asia-Pacific:34%)。 

サプライチェーン:早期に関与し、継続的にモニタリングする

今ではあらゆる企業が、自社のサプライチェーンに属する事業者とデジタルで密接に結び付いています。サイバー攻撃者は、最も脆弱なリンクを探す際に「一対多」の戦略を利用して何千もの組織への侵入を図っています。これに関して、EY Global Cybersecurity Transformation LeaderのRichard Bergmanは、次のように述べています。「過去5年間で、サプライチェーンを狙ったサイバー攻撃が急増しています。もし、30,000社もの企業に主要ソフトウェアを提供しているサプライチェーンの大手企業に不正アクセスすることができれば、サイバー攻撃者はその30,000社に侵⼊できます」。

このような深刻な事態が想定されるにもかかわらず、プローンエンタープライズは財務リスクのほうを重視する傾向が見られます(同グループ:52%、セキュアクリエイター:41%)。一方、セキュアクリエイターでは、サプライチェーンがもたらすリスク(38%対20%)や、知的財産保護などの関連リスクを強く懸念する傾向が高く、その割合はほぼ2倍に及びます(38%対24%)。もちろん、リスクを認識することは最初のステップですが、CISOは⾃社のサプライチェーンを整備して、単発的ではなく、継続的にベンダーのレジリエンスを把握する必要があります。こうした可視化をサプライチェーン内のアタックサーフェス全体にわたり担保するには、最⾼執⾏責任者(COO)やその他の経営幹部らとの連携を深めることが不可⽋となります。成熟度が比較的高い企業では、セキュリティ部⾨がベンダーの選定に関与し、セキュリティに関する保証や基準を設けて、組織内で継続的に管理しています。そうした中で、COOとCISOの視点の対立が生じる可能性があります。例えば、COOはサイバーセキュリティ上の懸念によってビジネスの成⻑機会が阻害されると感じ、CISOは組織のセキュリティを担う者として自身の役割や貢献が十分に評価されていないと感じることがあるかもしれません。しかし、両者の連携なくしては、真のレジリエンスを実現することはできません4

社内で打ち合わせをするビジネスパーソンたち
(Chapter breaker)
3

第3章

サイバーセキュリティについて組織全体から共感を得る

優れた成果を挙げているCISOは、経営幹部や従業員と密接にコミュニケーションを図りながら、組織全体に効果的に情報を発信しています。

セキュアクリエイターの企業では、組織全体をつなぐコミュニケーションネットワークが確立しています。経営幹部、サイバーセキュリティチーム、⼀般従業員という3つの異なる層で、それぞれのステークホルダーと密接にコミュニケーションを図っており、サイバーセキュリティの「⼈的要因」の重要性を明確に認識しています。

経営幹部とのコミュニケーション

CISOの役割と言えば、これまで、セキュリティの運⽤や技術関連の対応が中⼼となっていました。しかし、サイバーセキュリティの成熟度が比較的高い企業では、サイバーセキュリティ専門の部署や機能を設置し、担当者が経営幹部の意思決定に参加しています。今回の調査結果によると、そうした役割がますます重要視されようになったことで、CISOは今日の⾼リスクな環境で必要となるリソースを広範に確保できていることが明らかになっています。かつては最⼤の課題であった予算も、今年度の調査では8つの阻害要因中6位にランクダウンしています。サイバーセキュリティは、企業のレジリエンス(回復⼒)、レピュテーション、コンプライアンスに関わる基本的な問題であると認識され、徐々に幅広いサポートを得られるようになってきています。

予算は極めて重要な要素ですが、サイバーセキュリティを組織全体に組み込む必要性も忘れてはなりません。そのためには、経営幹部の賛同や、認識のギャップの是正、CISOと経営幹部間の密接なコミュニケーションが⽋かせません。しかし、今回の調査結果では、両者の認識が必ずしも⼀致していないことが明らかになっています。経営幹部と⽐べ、CISOは⾃社のサイバーセキュリティ対策全体の有効性と、将来のサイバー脅威に対処する能⼒に満⾜している⼈が少ないという傾向が見られます(前者:CISOが36%、経営幹部が48%、後者:同38%、同54%)。

セキュアクリエイターの多くが、経営幹部による主要な経営判断へのサイバーセキュリティの組み込みに満⾜しています。同グループの企業では、プローンエンタープライズに比べ、CISOと経営幹部の認識のギャップがはるかに⼩さく、経営幹部とより効果的なコミュニケーションを取ることで、リスクについての共通認識が⽣まれ、サイバーセキュリティのパフォーマンスが向上している様⼦がうかがえます。セキュリティの有効性に対する認識が⼀致しているかどうかが、セキュリティ体制が確立している企業かどうかを見極める指標となります。ビジネス上の主要な優先課題と事業戦略にサイバーセキュリティの運⽤を組み込んでいる企業では、インシデント発生件数が減少する傾向にあります。優れた成果を挙げているCISOは、セキュリティ対策を単なる技術的側面だけでなく、リスクの低減、ビジネスへの影響、価値創造という3つの観点からも共感を呼ぶ説明を行っています。

従業員への効果的なサポート

統合型のサイバーセキュリティ対策を進める上での優先課題は、より多くの従業員にサイバーセキュリティを浸透させることです。今回の調査結果でも、サイバー攻撃を受ける最⼤の原因は、⼈為的ミスです。また、IT部⾨以外でのベストプラクティスへの準拠レベルの低さが、3番⽬に⼤きな課題となっています。

サイバー研修について、「有⽤である」と回答したサイバーセキュリティリーダーはわずか半数で、IT部⾨以外の従業員によるベストプラクティスへの準拠レベルに満⾜しているのは36%にとどまっています。こうした結果から、サイバー研修が実際にどの程度の実効性があるかについて疑問が⽣じています。そうした中、セキュアクリエイターは、プローンエンタープライズに⽐べ、サイバーセキュリティのベストプラクティスへの準拠レベルに満⾜している傾向が多く⾒られました(47%対27%)。基本を徹底することが何よりも重要であり、それを踏まえて、組織は、従業員に求めるベストプラクティスを簡素化し、プロセスのガイドラインを明示することで、コンプライアンスに依拠することなく、リスクを限定する必要があります。成熟度が比較的高い企業では、段階的な研修を定期的に実施し、自動化や防衛に特化した最新のツールを活⽤しています。サイバーセキュリティ対策を従業員一人ひとりの⼼に根付かせて、セキュリティを組織文化として浸透させることができれば、研修の実効性もベストプラクティスへの準拠も確実に促進することができるでしょう。

⼈材:既存の枠組みを超えた人材確保

サイバーセキュリティ分野の⼈材関連の課題は根強く、この1年間で、世界のサイバーセキュリティ⼈材の不⾜は2倍以上の速さで悪化しました5。サイバーセキュリティ分野ではスキルの向上や能力開発が進んでおらず、ほとんどの企業でアップスキリングを重要視していることが本調査で明らかになっています。⼀⽅、セキュアクリエイターは、こうした課題の対処を独自のアプローチで進めています。例えば、このグループでは、サイバーセキュリティ分野での経験がない人材の採⽤やリスキリングを重視している企業の割合が2倍高い傾向があります(同グループ:28%、プローンエンタープライズ:14%)。従来のサイバーセキュリティ人材に見られる典型的な経歴ではなく、財務やIT全般など⾃動化によって業務量が⼤幅に減った分野の人材や実習生など、さまざまな背景を持つ⼈材が採⽤の対象となっています。

リーダーは、サイバーセキュリティ部⾨のオペレーシングモデルのあり方についてもより柔軟に考えており、アウトソーシングによるセキュリティ業務を増やすことを検討しています(中央値はセキュアクリエイターが25%、プローンエンタープライズが15%)。また、将来的にそれ以外の機能や能⼒も第三者の専⾨家にアウトソースするとした回答も多く⾒られました(同46%、同31%)。アウトソーシングにより、社内の⼈材では対応できない特殊なサイバーセキュリティ機能を専⾨の事業者に任せられるため、社内のサイバーセキュリティ機能の簡素化が可能となります。セキュアクリエイターは、労働力の必要性を減らすため、セキュリティプロセスの標準化と⾃動化を注力しており(同グループ:35%、プローンエンタープライズ:26%)、こうした取り組みも簡素化につながっています。

企業は、セキュリティ業務の運用において、「⼈材とプロセス」をアウトソースする傾向を強めていますが、技術面についてはより慎重になっています。多くが、マルチテナント型のテクノロジーソリューションを委託企業からホスティングしてもらうのではなく、アウトソーシングやコソーシングにより得られるスキルや⼈材⾯のメリットを享受しながら、⾃社独⾃のニーズやリスク選好に合わせて設定した自社専用のクラウド環境でテクノロジーを運用することを望んでいます。これは、第三者の委託企業の知的財産にアクセスできるといったメリットもあります。

さらに興味深い取り組みとして、企業は事業部⾨とセキュリティチームの間の調整役の設置を進めています。この調整役を担うのが、いわゆる「コンサルティング」機能です。同機能は、セキュリティチームと事業部門を広範につなぎ、何が必要かを把握し、サイバー⾯の考慮事項を事業戦略に反映させます。⼀部の企業では、サイバーコンサルタントチームが、6カ⽉から9カ⽉にわたって「リフト・アンド・シフト」のプロセス管理を試⾏しています。この取り組みは、セキュアな開発サイクルを実⾏し、関連する人材に研修を提供し、その後新しい業務に移行するという流れを通じて、新しいスキル導入を促進し、社内チームに実践を通じた学びの機会の提供を促進します。

高速道路のトンネルに向かう車を上空から撮影した写真
(Chapter breaker)
4

第4章

迅速な価値創造に向けてセキュアクリエイターが実践している5つのアクション

セキュリティリーダーは、サイバーセキュリティの技術的対策をオーケストレーションし、自動化により効率的なプロセスを構築することで、テクノロジー環境を簡素化し、組織のあらゆる層へ効果的に情報を発信しています。

サイバーセキュリティは、単に資産を守ることだけが目的ではありません。対策が功を奏すれば、組織全体のイノベーションと価値創造を加速的に促進させることができます。EYがサポートしたクライアントの事例によると、優れた成果を挙げている企業はサイバーセキュリティを組織の隅々にまで浸透させています。サイバーセキュリティを組織とオペレーティングモデルのあらゆる部分に組み込むことで、セキュリティ機能はビジネス活動の阻害要因ではなくバリュードライバーとなることができます。

セキュアクリエイターは、自組織のサイバーセキュリティ対策について、以下の領域にプラスの影響を及ぼしていると回答しています:変⾰とイノベーションのスピード(同グループ:56%、プローンエンタープライズのCISO:25%)、市場機会に迅速に対応する能⼒(同58%、同29%)、価値を守るだけでなく創造する能⼒(同63%、同42%)。価値創造にはさまざまな形があります。有効性の高いサイバーセキュリティ体制を確立している企業は、顧客やサプライヤーからの信頼が厚いため、より安⼼した取引ができると評価されています。テクノロジーアーキテクチャを再構築すれば、コミュニケーションや連携、従業員の⽣産性などの向上や、⽀出の効率化も期待できます。

ある 大手小売企業の例では、セキュリティリスクの⾼まりを受け、セキュリティ体制の変革を行いました。その結果、脆弱性の軽減だけでなく(これも重要ではありますが)、テクノロジー関連の⽀出の効率化、不必要となったレガシーツールの撤廃、マンパワーの最適化、役割と責任の明確化、連携の効率化、10億を超える顧客基盤における信頼向上など、さまざまな価値の向上を実現しました。  

  • 図の説明を表示する#図の説明を閉じる

    上の図表は、セキュアクリエイターとプローンエンタープライズの、価値創造、市場機会への対応、変⾰とイノベーションのスピードにサイバーセキュリティ対策が与える影響を⽰しています。

今回の調査結果から、多くのプローンエンタープライズが、イノベーションに必要なスピードとセキュリティとのバランスに苦慮していることが明らかになりました(同グループ:55%、セキュアクリエイター:42%)。これは、セキュリティ対策の有効性がいかに価値創造とイノベーションの⼟台となっているかということ、そして有効な対策が講じられなければ価値創造とイノベーションの妨げになることを示唆しています。複数のブランド、完全⼦会社や過半数所有⼦会社、あるいは提携や合弁事業のいずれによるものであれ、エコシステムの構築は価値創造における基本的な事業戦略となっています。エコシステムのメリットを最大限に活⽤するには、取り組みの初期段階からサイバーセキュリティを組み込む必要があります。CISOには、提携先を評価する際に、技術統合プロトコルを標準化し、サイバーセキュリティ基準を確実に含めることが求められます。また、事業拡⼤に伴い⽣じるリスクに適切に対処するため、経営意思決定者との効果的なコミュニケーションも不可欠です。例えば、企業買収でサイバーリスクが発⽣する可能性もあります。しかし、サイバーリスクの損害額が機会と⽐べて⼩さく⾒えるのであれば、その意思決定は他のビジネスリスクの判断と何ら変わらないものとなり、必ずしも機会の追及を⽌める必要はありません。企業に妥当なレベルのリスクはつきものです。

サイバーセキュリティ戦略をより効果的かつ価値主導なものにするためのアクション

2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査で、経営幹部は、現在直⾯し、また今後懸念されるさまざまなサイバー脅威に対処しているという、厳しい現状が明らかになりました。⼀⽅で、企業がどのようなサイバーセキュリティ戦略を講じているかということが、サイバーセキュリティ対策の成果に大きく影響していことを改めて確認することができました。ベストプラクティスから学ぶことで、企業は、サイバーセキュリティの強化に不可欠な簡素化や包括的思考、組織全体にサイバーセキュリティの考慮事項を浸透させる必要性を認識することができます。どれも、プローンエンタープライズが実践できるものです。今回の調査結果を基にEYが推奨する、企業が取るべき主なアクションは以下の通りです。

  1. サイバーセキュリティの技術的対策を簡素化して、リスクの軽減と可視性の向上を図る。⾃動化とオーケストレーションにより、テクノロジー環境の複雑化を軽減して迅速な予兆検知と効果的な対応を可能にする。
  2. 標準化と⾃動化により、サプライチェーンにおけるハッカーの侵⼊経路を減らし、サイバー攻撃などに対する警戒態勢を強化して、不必要で煩雑なプロセスを増やすことなくセキュリティ状況を継続的にモニタリングする。セキュリティチームは、ベンダー選定の早期段階から関与する。
  3. リスクの低減、ビジネスへの影響、価値創造という3つの観点から組織全体の共感を得られるよう説明する。
  4. ⼊念に設計された段階的な研修と、⾃動化ツールや防衛ツールを組み合わせて、「サイバー・セキュア・バイ・デザイン」な⼈材を育成する。
  5. サイバーセキュリティを組織の隅々にまで浸透させる。ビジネス活動の阻害要因ではなく、価値を促進する機能であることを組織全体に認識させる。これにより、イノベーションに必要な⾃信を醸成し、新たな収益や市場機会を開拓することができる。

本記事の作成にあたり、EY Research InstituteのAnnMarie Pino、Mike Wheelock、Bhavnik Mitta、Business InsightsのAino Tan、Global Technology ConsultingのVanessa Loboが協力をしてくれました。この場を借りて、感謝の意を表します。

サマリー

企業は深刻なサイバー脅威にさらされ続けています。サイバーセキュリティは経営幹部の優先課題になっており、財務面の⽀援も強化されていますが、リスクは⾼まる⼀⽅です。アタックサーフェスはサプライチェーンや⼤規模なクラウド環境を通して拡⼤し続け、サイバー攻撃者による攻撃もAIなどの機能を悪用した有効性の高いものとなっています。

2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査では、企業が現在の課題にどのように対応しているかについて掘り下げています。セグメンテーション分析を行い、テクノロジーアーキテクチャを簡素化する方法から、組織全体に情報を発信する能力まで、最も成果を上げている企業に共通する特徴と行動について取り上げました。

この記事について

執筆者 Richard Watson

EY Global and Asia-Pacific Cybersecurity Consulting Leader

Public speaker. Trusted advisor on cyber risk and digital trust. Golfer, traveler and dad.

投稿者
EY Japanの窓口

EY ストラテジー・アンド・コンサルティング株式会社 サイバーセキュリティ共同リーダー パートナー

25年以上の Cybersecurity の経験を有し、グローバルコラボレーションと協調性を大事にする。週末はテニスとゴルフに興じる。

関連トピック コンサルティング
  • Facebook
  • LinkedIn
  • X (formerly Twitter)